» »

Hekerski napad Target bistveno obsežnejši

Hekerski napad Target bistveno obsežnejši

vir: The New York Times
The New York Times - Na dan so pricurljale informacije, da je bil decembrski hekerski napad na ameriškega trgovca Target bistveno obsežnejši, kot so sprva zatrjevali. Že prvotne navedbe so bile zaskrbljujoče, saj so napadalci dobili bančne podatke vsaj 40 milijonov kupcev, in sicer imena imetnikov kartic, številke kartic, datume veljavnosti, kode CVV in šifrirane kode PIN. Sedaj pa ugotavljajo, da je bilo prizadetih okoli 110 milijonov kupcev, o katerih so jim ušli še drugi podatki.

Target je v izjavi za javnost priznal, da so neznanci med napadom odtujili tudi nekatere druge podatke o kupcih. Poleg omenjenih 40 milijonov imetnikov kartic, so napadalci dobili imena, elektronske naslove, telefonske številke in domače naslove vsaj 70 milijonov drugih kupcev. Pravijo, da gre v večini primerov za delne podatke (torej niso dobili vseh omenjenih podatkov od vsakega posameznika, ampak nekaj od enega in nekaj od drugega). Povedali so, da bodo z vsemi prizadetimi, katerih elektronske naslove je Target hranil, stopili v stik. Ob tem dodajajo - verjetno, da bi ljudi posvarili pred lažnimi sporočili, ki jih lahko prejmejo - da Target v nobenem sporočilu od njih ne bo zahteval nobenih osebnih podatkov. Target še ni razkril, ali je bila druga tranša ukradenih podatkov šifrirana.

Še vedno velja, da prizadete stranke ne bodo imele stroškov, saj jim Target nudi brezplačno enoletno zaščite in nadzor pred zlorabo kartic ter krajo identitete.

Številke pomenijo, da je prizadeta tretjina vseh Američanov, kar predstavlja enega največjih vdorov in tatvin osebnih podatkov v zgodovini. Omenjenih 70 milijonov ne zajema le ljudi, ki so nakupovali v predbožičnem času, ko se je vdor zgodil in ko so pridobili bančne podatke prvih 40 milijonov uporabnikov, ampak kar vse stranke Targeta. Ti podatki so bili namreč shranjeni v drugi podatkovni bazi, a so jih hekerji vseeno dobili. Trenutno tečejo tako policijska preiskava kakor tudi neodvisna preiskava Targeta v sodelovanju z Verizonom in Mandiantom (slednje podjetje za računalniško varnost je znano po tem, da je prvo uradno obtožilo Kitajsko za internetne napade v ZDA).

Največja odkrita kraja osebnih podatkov je sicer vdor v Heartland Payment Systems leta 2009, ko so ukradli 130 milijonov številk kreditnih kartic. Največji vdor v računalniške sisteme trgovca pa je vdor v T.J.Maxx leta 2005, ko so dobili podatke o 90 milijonih strank. Če bodo ocene o številu prizadetih strank za Target še rasle, lahko postane celo največji vdor v zgodovini.

Mimogrede povejmo, da Target ni osamljeni primer. Včeraj je vdor razkril še Neiman Marcus. Podrobnosti o številu žrtev in obsegu odtujenih podatkov še niso javno znane.

14 komentarjev

koyotee ::

Zato imam MC kartico ki ni vezana na moj račun, kadar rabim naložim € in to je to.
Rear DVD collector!
JTD power!
Coming soon: bigger E-penis & new internet friendzzz!

digitalcek ::

Torej je treba očitno poleg hiših vrat ali vrat stanovanja, žene in dobrega bicikla zaklepati še mnogo drugega. PRAVZAPRAV vse.
Bravo moderni časi in moderne tehnologije, ki omogočajo take in podobne vdore.

Kaj če bi za začetek vsaj kakih 5000 ljudi, ki se ukvarjajo z "zaščito", izgubilo službo? Za začetek...

Ne pa, da se s tem (tako kot s pisanjem kodekov) ukvarja vsak, ki ima 5 minut časa, ali tak, ki pride mimo...

black ice ::

Zopet jokaš za dobrimi starimi časi totalitarizma?

carota ::

Največja odkrita kraja osebnih podatkov je sicer vdor v Heartland Payment Systems ...

Ne sodi PRISM na prvo mesto?

Hayabusa ::

Tisto dela USA/UK vlada, ne šteje ;((.

Velike korporacije so veliki šalabajzerji s področja varnosti, ki hranijo podatke v plain-text obliki.
Se vidi da vladajo kravatarji iz ekonomski "znanosti".

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

Afo ::

digitalcek je izjavil:

Torej je treba očitno poleg hiših vrat ali vrat stanovanja, žene in dobrega bicikla zaklepati še mnogo drugega. PRAVZAPRAV vse.
Bravo moderni časi in moderne tehnologije, ki omogočajo take in podobne vdore.

Kaj če bi za začetek vsaj kakih 5000 ljudi, ki se ukvarjajo z "zaščito", izgubilo službo? Za začetek...

Ne pa, da se s tem (tako kot s pisanjem kodekov) ukvarja vsak, ki ima 5 minut časa, ali tak, ki pride mimo...


Od kdaj pa ni bilo potrebno zaklepati še kaj drugega!? Smo tisti ki to že dolgo vemo, pa tisti ki to dojamejo v taki novici.
Ja RES bravo moderni časi in moderna tehnologija. Kaj je narobe s tem? A pred sodobno tehnologijo se ni dalo krast!?
Kaj če bi se prepričali KDO TOČNO je kaj zafrknil in nato odpuščali, ne pa kar vse po vrsti (tudi tiste ki so delali zelo dobro)!? S tem bi naredili še več škode... po nepotrebnem.
Temu da se ukvarja vsak ki ima 5 min časa se pravi napredek: in pripomore k splošnemu izboljšanju in kvaliteti (kot tudi k večjemu preverjanju ranljivosti)- ne pa obratno.
Bolje biti mlad in neumen, kot samo neumen!

filip007 ::

Potem bodo dobili brezplačno novo identiteto, zgrešen koncept.
Trevor Philips Industries

Val202 ::

Afo je izjavil:


Ja RES bravo moderni časi in moderna tehnologija. Kaj je narobe s tem? A pred sodobno tehnologijo se ni dalo krast!?
[...]
Temu da se ukvarja vsak ki ima 5 min časa se pravi napredek: in pripomore k splošnemu izboljšanju in kvaliteti (kot tudi k večjemu preverjanju ranljivosti)- ne pa obratno.


Seveda se je dalo krasti, vendar ne iz drugega konca sveta in v takih količinah. Govorimo o osebnih podatkih nekaj 10 milijonov ljudi - če samo izračunaš: vzemi, da na en list A4 gre cca. 40 vrstic in da z eno vrstico opišeš podatke ene osebe, to pride 2500 paketov po 500 listov (enostransko; vzel sem 50M ljudi). Ni tako malo, kajne?

Sem pa tudi mnenja, da se nečemu ne more reči napredek, če se lahko vsakdo, ki ima 5 minut časa ukvarja s tem. Čeprav trdiš drugače, zakaj potem srednješolec ne more operirati bolnika z rakom, ali pa zagovarjati proces tožbe proti morilcu, itd? Zakaj je lahko danes vsakdo računalniški "strokovnjak", ko prebere nekaj strani na Wikipediji, da si pa lahko zdravnik moraš pa študirati skoraj 12 let? Zakaj se lahko moj kolega, ki je študiran odvetnik okliče za programerja, ker pozna C++ (in tudi dobi službo), jaz pa z diplomo iz FMFa ne morem biti odvetnik? Enako, zakaj v času, ko čedalje več kritičnih življenjskih sistemov temelji na računalniških rešitvah, le-te izdelujejo napol amaterji?

Zgodovina sprememb…

  • spremenilo: Val202 ()

MoRp ::

Val202 je izjavil:

Zakaj je lahko danes vsakdo računalniški "strokovnjak", ko prebere nekaj strani na Wikipediji, da si pa lahko zdravnik moraš pa študirati skoraj 12 let? Zakaj se lahko moj kolega, ki je študiran odvetnik okliče za programerja, ker pozna C++ (in tudi dobi službo), jaz pa z diplomo iz FMFa ne morem biti odvetnik? Enako, zakaj v času, ko čedalje več kritičnih življenjskih sistemov temelji na računalniških rešitvah, le-te izdelujejo napol amaterji?


This!!! Spomnim se časov win95 in 98. Ko sem sosedom in prijateljem urejal računalnike --> dokler je bilo zastonj je bilo OK, ko sem hotel takratnega jurija sem dobil odgovor mah sej zna od sestrične kolega bo on, potem pa sesutje sistema izguba podatkov in jok in stok, da dajo tut kobilico (5 tisoč za tiste ki je niso videli) samo da se zadeva reši...

SaXsIm ::

No, js bi vas rad vidu, kako date sosedovemu mulcu za izdelat aplikacije, ki brez izgub zaradi počasnega delovanja zmorejo procesirati 110 miljonov uporabnikov. Sigurno teh sistemov niso postavljal eni šalabajzerji. Kaj mislite, da so hekerji eni malce bolj advanced userji? Hekerji takšnega kova so tako dobri, da se jim high-end jobov v corporate okoljih niti ne splača jemati, ker so v kriminalu donosi veliko višji. Pa ne jamrat, ker imate povprečna znanja, kjer vam mulci brez problemov odnašajo posel, ker to ni ta tema.

Rešitve za takšne probleme so drugje, po mojem mneju. Regulacija baz osebnih (in finančnih podatkov). Naj se vsake toliko sistemi, ki delajo z takšnimi količinami občutljivih podatkov, pregledujejo s strani neodvisnih zunanjih izvajalcev. Lahko bi se takšne stvari uzakonilo.
SaXsIm

Hayabusa ::

Plaintext (Že prvotne navedbe so bile zaskrbljujoče, saj so napadalci dobili bančne podatke vsaj 40 milijonov kupcev, in sicer imena imetnikov kartic, številke kartic, datume veljavnosti, kode CVV in šifrirane kode PIN. Sedaj pa ugotavljajo, da je bilo prizadetih okoli 110 milijonov kupcev, o katerih so jim ušli še drugi podatki) tako da je to moja prva misel, druga je šalabajzer.

Da tako dela kot je zgoraj napisano eno lokalno prostovoljno gasilsko društvo (za svoje potrebe) iz Sp. Dupleka z 10 člani še nekako razumem, tako velike korporacije si tega preprosto ne smejo več privoščiti.

Podatki morajo biti šifrirani (se shranjuje samo hash) in soljeni (salted).
https://crackstation.net/hashing-securi...

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

Val202 ::

SaXsIm je izjavil:


Rešitve za takšne probleme so drugje, po mojem mneju. Regulacija baz osebnih (in finančnih podatkov). [...]


Vsekakor je potrebno urediti zakonodajo in podobno, da bodo tisti, ki imajo slabe sisteme in zaradi le-teh tudi izgubo podatkov ustrezno odgovarjali. S tem bodo tudi prišli do spoznanja, da morajo zaposlovati strokovnjake. Seveda ne pravim, da jih ne, ampak morda se premalo zavedajo kakšne posledice ima lahko slabo varovan sistem - noben sistem ni 100% varen, da se razumemo, vendar pa morda družbe zaradi prehitrega pehanja za dobičkom delajo bljižnice tam, kjer jih ne bi smeli - to pa bo posledično uredila zakonodaja.

Dokler ni bilo predpisa, da moramo imeti varnostne pasove, jih tudi ni bilo v avtomobilih, kajne? Kdo gleda Mad Men? Vožnja avtomobila brez varnostnega pasu in v eni roki kozarec whiskyja?!? Danes to počnejo samo še norci...

Afo ::

Val202 je izjavil:


Seveda se je dalo krasti, vendar ne iz drugega konca sveta in v takih količinah. Govorimo o osebnih podatkih nekaj 10 milijonov ljudi - če samo izračunaš: vzemi, da na en list A4 gre cca. 40 vrstic in da z eno vrstico opišeš podatke ene osebe, to pride 2500 paketov po 500 listov (enostransko; vzel sem 50M ljudi). Ni tako malo, kajne?

Sem pa tudi mnenja, da se nečemu ne more reči napredek, če se lahko vsakdo, ki ima 5 minut časa ukvarja s tem. Čeprav trdiš drugače, zakaj potem srednješolec ne more operirati bolnika z rakom, ali pa zagovarjati proces tožbe proti morilcu, itd? Zakaj je lahko danes vsakdo računalniški "strokovnjak", ko prebere nekaj strani na Wikipediji, da si pa lahko zdravnik moraš pa študirati skoraj 12 let? Zakaj se lahko moj kolega, ki je študiran odvetnik okliče za programerja, ker pozna C++ (in tudi dobi službo), jaz pa z diplomo iz FMFa ne morem biti odvetnik? Enako, zakaj v času, ko čedalje več kritičnih življenjskih sistemov temelji na računalniških rešitvah, le-te izdelujejo napol amaterji?


Heh, ne pretiravat. V tej debati sploh ni vprašanje tvoja izobrazba proti sosedovim mulcem na wikipediji (ker te bo verjetno sosedov mulc nabil z znanjem iz wikipedije) To da vsak s 5 minut prostega časa naredi neko aplikacijo (ali naključno določen osebek v službi) je nekaj čisto vsakdanjega in tudi v redu. Napredek teži k temu da lahko na kompleksne probleme vsak idiot naredi preprosto rešitev - in sem hvaležen za to. Tehnologija danes omogoča res idiotske rešitve na čedalje bolj velike probleme ... zato se NE strinjam da moramo vsako stvar narediti 100% in buletproof že iz začetka.

SaXsIm :
No, js bi vas rad vidu, kako date sosedovemu mulcu za izdelat aplikacije, ki brez izgub zaradi počasnega delovanja zmorejo procesirati 110 miljonov uporabnikov. Sigurno teh sistemov niso postavljal eni šalabajzerji.

Ne mulcu ne daješ postavit 100mio uporabnikov aplikacije. Jo PA MULC razvije ko še ni uporabnikov in s tem obogati (teh "mulcev ki so postali bogataši" imamo danes malo morje) ... šele nato pridejo (če sploh) strokovnjaki, ki ali delajo na platformi od mulcev, ali pa jo ponovno pravilno spišejo iz nule.

Naj prevedem na novico: če nočem izgubiti denarja, ne vpisujem kartice na tuje spletne strani. Ali pa uporabim rešitev ki jo omenil koyotee in se jo da uporabit tudi v Sloveniji. Ne zaupam nikomur. Vpisujem kartico samo če res ni druge. In ne mislim da paničarim, samo pazim. Po moje je (ne glede na zakonodajo in to kam uporabniki vpisujejo) del odgovornosti tudi na uporabniku ki svoje podatke tako ali drugače deli tretji (tudi pravni) osebi. Vsaj del odgovornosti.
Bolje biti mlad in neumen, kot samo neumen!

Zgodovina sprememb…

  • spremenil: Afo ()

Val202 ::

Riot77> Heh, ne pretiravat. V tej debati sploh ni vprašanje tvoja izobrazba proti sosedovim mulcem na wikipediji (ker te bo verjetno sosedov mulc nabil z znanjem iz wikipedije)...

Super, potem prihodnjim generacijam ni potrebno hoditi v šolo in se vse lahko naučijo sami. Kako sem neumen, ko plačujem svoji tri leta stari hčerki ure angleščine, ko pa bi jo lahko zastonj posedel pred Wikipedijo in rekel: "Uči!".

Riot77> To da vsak s 5 minut prostega časa naredi neko aplikacijo (ali naključno določen osebek v službi) je nekaj čisto vsakdanjega in tudi v redu. Napredek teži k temu da lahko na kompleksne probleme vsak idiot naredi preprosto rešitev - in sem hvaležen za to. Tehnologija danes omogoča res idiotske rešitve na čedalje bolj velike probleme ...

Kot si rekel: *idiotske* rešitve. Potem pa imamo to kar je. Zavedam se, da so sistemi čedalje bolj odprti in s tem tudi bolj ranljivi, vendar pa se vse pomika k temu, da je bolj uporabno kot pa varno. No, tudi to se bo enkrat spremenilo - le poglejmo avtomobilsko industrijo. Avti so danes tako varni kot uporabni.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Poletni napad na JPMorgan Chase prizadel več milijonov komitentov

Oddelek: Novice / Varnost		55048 (4364) antonija
»

Vdor v Home Depot večji kot Target

Oddelek: Novice / Varnost		156948 (4993) mojca
»

Napad na Target ciljal pomnilnik v POS-terminalih

Oddelek: Novice / Varnost		86130 (4106) M.B.
»

Hekerski napad Target bistveno obsežnejši

Oddelek: Novice / Varnost		148187 (6519) Val202
»

V napadu na Target ukradenih 40 milijonov številk kreditnih kartic, Krebs iskal stori

Oddelek: Novice / Kriptovalute		96619 (4187) murmur

Več podobnih tem